Снова вирус вымогатель

не могу избавиться прошу совета
 

Alek

опытный
Снова столкнулся с вирусом вымогателем.
Но избавится не смог!
Раньше легко получалось это сделать с помощью ERD-командера.
Просто смотрел какие лишние записи в загрузке и удалял их.
В этот раз так не получилось.
Подрубал зараженные диск к своему компу и проганял двумя антивирусами ничего не нашлось.
Посмотрите на картинку в прикреплении может кто сталкивался уже с таким?
Дайте хороших советов по удалению.
Я бы мог конечно восстановить все из резервной копии, но бугалтерша орет что ей уже после резервирования поставили какуюто жутко нужную базу которую потерять никак нельзя :)
Поэтому хочется все таки вылечить.

Помогите!!
 3.6.133.6.13

Alek

опытный
Картинка с вирусом
Прикреплённые файлы:
 
 3.6.133.6.13
+
-
edit
 

Bachet

опытный

Прикрепления не вижу, где это.
Могу только такой вариант предложить - базу эту отдельно сохранить и отформатировать ж.диск. Потом все заново ставить.
 

DSB

втянувшийся

Попробуй поставить монитор Comodo Firewall. С его помощью скорее всего удасться выяснить что это за процесс, далее смотри реестр - вычищай.
 7.07.0

x000

втянувшийся

Alek> Снова столкнулся с вирусом вымогателем.
Сколько было похожих случаев - всегда Cure IT убивал заразу, с чистой машины
IMPERIUM!  3.5.83.5.8

Alek

опытный
Cureit ничего не находит. Коды не подходят ни д.Вебовские ни касперские. Поставить я ничего не могу поскольку вирус блокирует вход. Базу перенести отдельно тоже не могу поскольку ставил ее фирмач приезжий со всякими кодами и заморочками. Придется его снова вызывать за отдельную таксу :(
 3.6.123.6.12
+
-
edit
 

Andrey_Kr

втянувшийся

Alek> Cureit ничего не находит. Коды не подходят ни д.Вебовские ни касперские. Поставить я ничего не могу поскольку вирус блокирует вход. Базу перенести отдельно тоже не могу поскольку ставил ее фирмач приезжий со всякими кодами и заморочками. Придется его снова вызывать за отдельную таксу :(

Вах, зачем. Если есть возможность загрузиться с ерд, надо просматривать вручную ветки отвечающие за автозагрузку через редактор реестра. В разделе "автозагрузка" сам ерд стандартно показывает далеко не все разделы. Прежде всего надо проверить хотя бы эти разделы Администрирование автозагрузки в Windows
Так же почистить темпы и проверить папки виндовс и систем32 на свежие файлы
 3.6.133.6.13
Это сообщение редактировалось 11.01.2011 в 16:45
+
-
edit
 

Vale

Сальсолёт

В очередной раз - наличие Linux как второй оси - спасает.
"Не следуй за большинством на зло, и не решай тяжбы, отступая по большинству от правды" (Исх. 23:2)  

Alek

опытный
Всем спасибо! Справился!

Зараза сидела в C:/windows/system32/usrinit.exe маскировалась по правильный файл userinit.exe
Дата кстати в файле вируса оказалась подделана и была такая же как в userinit.exe поэтому по дате не смог отловить. Соответственно был прописан в реестре вместо нормального userinit -> usrinit В секции Winlogon.

Вот здесь http://www.makak.ru/2010/10/.../#more-3382 подробная статья по борьбе с это пакостью.

Только когда будете чистить реестр не удалите в запале (как я) всю запись - ее надо исправить на правильную. А то вообще рабочий стол грузиться не будет :) Придется, как мне, потом эту запись ручками добавлять :)
 3.6.133.6.13

Balancer

администратор
★★★★★
Vale> В очередной раз - наличие Linux как второй оси - спасает.

Гы. Ну, я про свою историю в декабре писал уже. Тогда пришлось удалённый ноут по телефону, что называется, лечить :D Вылечил...

А уже когда сам в Махачкалу приехал, при мне история повторилась.

Учитывая, что винда официальная и по последнему слову обновлённая, заражение происходило через Оперу без выкачивания любых исполняемых файлов, в винде сейчас где-то незакрытая уязвимость. Да ещё и AVG с ней не справляется. Вирус обнаруживает, при сканировании, то есть знает про него, но вот внедрение его в систему - зевает.

В итоге перед отъездом наказал жене для теста DrWeb поставить (сам уже не успевал), но она пересела в Linux...
 3.6.133.6.13
+
-
edit
 
RU m-s Gelezniak #19.11.2015 14:07
+
-
edit
 

m-s Gelezniak

аксакал

☠☠☠
Сообщение было перенесено из темы Новый вирус.
Джннтельмены что это?
При поиске картинок по запросу "ракета Русь-М" Была выбрана ссылка.
Произошол небольшой сбой форматирования страницы и выпало:
"Ваш комп. заблокирован ... внесён... если в течении 12 часов не будет произведена оплата на номер МЕГАФОНА то буду наказан "
Причем указана дата но не время и комп не заблокирован.
ЗЫ Ром, скрин не прицепился размер был 200к примерно, другая картинка прошла.
Мнения?
GSM модем и доступ не только у меня.
 8.08.0
Это сообщение редактировалось 19.11.2015 в 14:31
UA Bod #19.11.2015 14:47  @m-s Gelezniak#19.11.2015 14:07
+
-
edit
 

Bod

координатор
★★★★☆
m.G.> Мнения?

Trojan.Winlock — Википедия

Trojan-Ransom Троянская программа 2007 EXE, загрузочный Описание Symantec Описание Лаборатории Касперского Trojan.Winlock (Винлокер) — семейство вредоносных программ, блокирующих или затрудняющих работу с операционной системой, и требующих перечисление денег злоумышленникам за восстановление работоспособности компьютера, частный случай Ransomware (программ-вымогателей). Впервые появились в конце 2007 года. Широкое распространение вирусы-вымогатели получили зимой 2009—2010 годов, по некоторым данным оказались заражены миллионы компьютеров, преимущественно среди пользователей русскоязычного Интернета. // Дальше — ru.wikipedia.org
 

Dr.Web CureIt! — Лечащая утилита

Dr.Web CureIt! — отличный бесплатный антивирус. Находит то, что другие не видят. Эффективно лечит системы после заражения вредоносными программами. Попробуйте и убедитесь в этом сами. // free.drweb.com
 
 31.931.9
RU m-s Gelezniak #19.11.2015 14:54  @Bod#19.11.2015 14:47
+
-
edit
 

m-s Gelezniak

аксакал

☠☠☠
m.G.>> Мнения?
Bod> https://ru.wikipedia.org/wiki/Trojan.Winlock
Bod> Dr.Web CureIt! — Лечащая утилита
Там на ФСБ ссылаюся. :eek:
И вторая ссылка не откравается.
 8.08.0
Это сообщение редактировалось 19.11.2015 в 14:59
UA Bod #19.11.2015 15:00  @m-s Gelezniak#19.11.2015 14:54
+
-
edit
 

Bod

координатор
★★★★☆
m.G.> Там на ФСБ ссылаюся. :eek:

Да хоть на ZOG ;) Их дело напугать жертву и заставить её перевести деньги.
Проверь на всякий случай компьютер свежим CureIt, желательно с загрузочной флешки.
 31.931.9
UA Bod #19.11.2015 15:04  @m-s Gelezniak#19.11.2015 14:54
+
-
edit
 

Bod

координатор
★★★★☆
Bod>> https://ru.wikipedia.org/wiki/Trojan.Winlock
Bod>> Dr.Web CureIt! — Лечащая утилита

m.G.> И вторая ссылка не откравается.

Возможно блокирует тебе доступ к антивирусным утилитам. Сейчас попробую выкачать и переложить куда-нибудь саму утилиту. Но проверять лучше не из-под зараженной системы.
 31.931.9
RU m-s Gelezniak #19.11.2015 15:06  @Bod#19.11.2015 15:00
+
-
edit
 

m-s Gelezniak

аксакал

☠☠☠
m.G.>> Там на ФСБ ссылаюся. :eek:
Bod> Да хоть на ZOG ;) Их дело напугать жертву и заставить её перевести деньги.
Bod> Проверь на всякий случай компьютер свежим CureIt, желательно с загрузочной флешки.
Не пугливый. Да просто своих на уши подимать не хочется в отпуске я. :)
Во второй ссылке при нажатии капы "скачать" переход не происходит.
Комп достался с работы с установленным Авастом. Но это первый "привет" за полгода.
 8.08.0
Это сообщение редактировалось 19.11.2015 в 15:11
UA Bod #19.11.2015 15:10  @m-s Gelezniak#19.11.2015 14:54
+
-
edit
 

Bod

координатор
★★★★☆
m.G.> И вторая ссылка не откравается.

Попробуй скачать отсюда

Скачать cureit.exe

Программа для закачки файлов | FAQ | Новости регистрация | вход Описание: drweb cureit 19.11.2015 168.92 MB, скачали 0 раз Все файлы скачиваются без каких либо ограничений по скорости! Выделите текст в поле и скопируйте его // www.fayloobmennik.net
 
 31.931.9
UA Bod #19.11.2015 15:18  @m-s Gelezniak#19.11.2015 15:06
+
-
edit
 

Bod

координатор
★★★★☆
m.G.> Не пугливый. Да просто своих на уши подимать не хочется в отпуске я. :)

Локеры не так страшно. Практически во всех случаях лечатся. Последние пару лет появились крипторы (шифруют все документы на компьютере), но там симптомы другие. Вот те - беда.

m.G.> Комп достался с работы с установленным Авастом. Но это первый "привет" за полгода.

Антивирус обновлялся? Но даже в этом случае - антивирус не панацея. Тем более, что современные антивирусы сами немногим лучше вирусов ;) Ну, это уже другая история ©
 31.931.9

Balancer

администратор
★★★★★
Bod> https://ru.wikipedia.org/wiki/Trojan.Winlock

Вряд ли. Там залочки, как я понял, нет. Просто в браузере окно вылезло. Это то ли какой-то вирус, подменяющий рекламу стоит, то ли провайдер дурит, опять же, рекламу подменяя. Ну и как совсем маловероятный вариант, кто-то Гуглу, который рекламу на Авиабазе показывает, подсунул такую кривую рекламу.

В общем, похоже на чисто браузерную заморочку «на испуг».
 33

hcube

старожил
★★
Bod> Локеры не так страшно. Практически во всех случаях лечатся. Последние пару лет появились крипторы (шифруют все документы на компьютере), но там симптомы другие. Вот те - беда.

Тоже лечатся. У нас бухгалтерский комп словил через дырку в RPC - купили лицензию на дрвеб, написали у них на форуме запрос, пошаманили - и в общем-то все расшифровали где-то за неделю.

В данном случае - грузишься с любого загрузочного диска, пускаешь с флешки курит, и лечишься.
Убей в себе зомби!  46.0.2490.8646.0.2490.86

Bod

координатор
★★★★☆
hcube> Тоже лечатся. У нас бухгалтерский комп словил через дырку в RPC - купили лицензию на дрвеб, написали у них на форуме запрос, пошаманили - и в общем-то все расшифровали где-то за неделю.

В редких случаях, когда авторы вируса накосячили и оставили брешь. На том же форуме ДрВеба хватает тем с негативными опытами. При "правильном" применении стойких криптоалгоритмов... жертвам остаётся или заплатить и надеяться на получение ключа, или распрощаться с содержимым компьютера.

hcube> В данном случае - грузишься с любого загрузочного диска, пускаешь с флешки курит, и лечишься.

Для самоуспокоения. Думаю, Рома прав. Какой то сугубо браузерный глюк. Но мало ли..
 31.931.9

hcube

старожил
★★
Bod> В редких случаях, когда авторы вируса накосячили и оставили брешь. На том же форуме ДрВеба хватает тем с негативными опытами. При "правильном" применении стойких криптоалгоритмов... жертвам остаётся или заплатить и надеяться на получение ключа, или распрощаться с содержимым компьютера.

Ага. Но кто ж из вирусописателей-то ПРАВИЛЬНО умеет их применять...

Воистину - бодливой корове бог рогов не дает :-)

Во всяком случае, у нас было закодировано самой трудно расшифровываемой версией (легко расшифровываемая сводится к переносу 200 байт из начала файла в конец :-)) - веберы пошуршали над полдюжиной файлов, потом еще пошуршали - и в итоге справились. Так что лично мой опыт - позитивный.
Убей в себе зомби!  46.0.2490.8646.0.2490.86
RU m-s Gelezniak #19.11.2015 17:47
+
-
edit
 

m-s Gelezniak

аксакал

☠☠☠
Сообщение было перенесено из темы Фото и картинки [9].
Ром отвечу здесь.
Рекомендованное скачал, запускал два раза, чуть ближе к середине вываливается в синьку.
После перрезагрузки блокировки нет. Пищу с него.
 8.08.0


в начало страницы | новое
 
Поиск
Настройки
Твиттер сайта
Статистика
Рейтинг@Mail.ru